Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för:✅ Lager i Microsoft Fabric
Fabric Data Warehouse tillhandahåller en lösning för datalagerhantering för företag, som hanteras helt och fullt integrerat i Microsoft Fabric. När du lagrar känsliga och affärskritiska data måste du dock vidta åtgärder för att maximera säkerheten för dina lager och de data som lagras i dem.
Den här artikeln innehåller vägledning om hur du bäst skyddar ditt lager i Microsoft Fabric.
Åtkomstmodell för lager
Microsoft Fabric-behörigheter och detaljerade SQL-behörigheter fungerar tillsammans för att styra informationslageråtkomsten och användarbehörigheterna när de är anslutna.
- Informationslageranslutningen är beroende av att ha behörigheten Microsoft Fabric Read, som minst, för lagret.
- Med Microsoft Fabric-objektbehörigheter kan du ge en användare SQL-behörighet utan att behöva bevilja dessa behörigheter i SQL.
- Microsoft Fabric-arbetsyteroller ger Microsoft Fabric-behörigheter för alla lager på en arbetsyta.
- Detaljerade användarbehörigheter kan hanteras ytterligare via T-SQL.
Arbetsyteroller
Arbetsyteroller används för samarbete med utvecklingsteamet på en arbetsyta. Rolltilldelning avgör vilka åtgärder som är tillgängliga för användaren och gäller för alla objekt på arbetsytan.
- En översikt över Microsoft Fabric-arbetsyteroller finns i Roller i arbetsytor i Microsoft Fabric.
- Anvisningar om hur du tilldelar arbetsyteroller finns i Ge användare åtkomst till arbetsytor.
Mer information om de specifika informationslagerfunktioner som tillhandahålls via arbetsyteroller finns i Arbetsyteroller i Fabric Data Warehouse.
Objektbehörigheter
Till skillnad från arbetsyteroller, som gäller för alla objekt i en arbetsyta, kan objektbehörigheter tilldelas direkt till enskilda lager.
Följ alltid huvudnamnet för lägsta behörighet när du beviljar behörigheter och rollmedlemskap. När du utvärderar behörigheterna för att tilldela till en användare bör du överväga följande vägledning:
- Om de främst kräver skrivskyddad åtkomst tilldelar du dem till rollen Läsare och beviljar läsbehörighet för specifika objekt via T-SQL. Mer information finns i Hantera SQL-detaljerade behörigheter.
- Endast gruppmedlemmar som för närvarande samarbetar med lösningen bör tilldelas till arbetsyterollerna Administratör, Medlem och Deltagare, eftersom de ger åtkomst till alla objekt på arbetsytan.
- Om de är högre privilegierade användare tilldelar du dem till administratörs-, medlems- eller deltagarroller. Lämplig roll är beroende av de andra åtgärder som de behöver utföra.
- Andra användare, som bara behöver åtkomst till ett enskilt lager eller endast behöver åtkomst till specifika SQL-objekt, bör ges behörigheter för infrastrukturobjekt och beviljas åtkomst via SQL till de specifika objekten.
- Du kan också hantera behörigheter för Microsoft Entra-ID-grupper i stället för att lägga till varje specifik medlem. Mer information finns i Microsoft Entra-autentisering som ett alternativ till SQL-autentisering i Microsoft Fabric.
- Granska användaraktiviteten i ditt lager med användargranskningsloggar.
Mer information om delning finns i Dela dina data och hantera behörigheter.
Detaljerad säkerhet
Arbetsyteroller och objektbehörigheter är ett enkelt sätt att tilldela grova behörigheter till en användare för hela lagret. I vissa fall behövs dock mer detaljerade behörigheter för en användare. För att uppnå detta kan standard-T-SQL-konstruktioner användas för att ge specifika behörigheter till användare.
Microsoft Fabric-datalager stöder flera dataskyddstekniker som administratörer kan använda för att skydda känsliga data från obehörig åtkomst. Genom att skydda eller dölja data från obehöriga användare eller roller kan dessa säkerhetsfunktioner ge dataskydd i både en slutpunkt för lager- och SQL-analys utan programändringar.
- Säkerhetskontroller på objektnivå kontrollerar åtkomsten till specifika databasobjekt.
- Säkerhet på kolumnnivå förhindrar obehörig visning av kolumner i tabeller.
-
Säkerhet på radnivå förhindrar obehörig visning av rader i tabeller med hjälp av välbekanta
WHEREsatsfilterpredikat. - Dynamisk datamaskning förhindrar obehörig visning av känsliga data med hjälp av masker för att förhindra åtkomst till fullständiga, till exempel e-postadresser eller siffror.
Säkerhet på objektnivå
Säkerhet på objektnivå är en säkerhetsmekanism som styr åtkomsten till specifika databasobjekt, till exempel tabeller, vyer eller procedurer, baserat på användarbehörigheter eller roller. Det säkerställer att användare eller roller bara kan interagera med och manipulera de objekt som de har beviljats behörighet för, vilket skyddar integriteten och konfidentialiteten för databasschemat och dess associerade resurser.
Mer information om hur du hanterar detaljerade behörigheter i SQL finns i SQL-detaljerade behörigheter i Microsoft Fabric.
Säkerhet på radnivå
Säkerhet på radnivå är en databassäkerhetsfunktion som begränsar åtkomsten till enskilda rader eller poster i en databastabell baserat på angivna villkor, till exempel användarroller eller attribut. Det säkerställer att användare endast kan visa eller manipulera data som uttryckligen har behörighet för deras åtkomst, vilket förbättrar datasekretessen och kontrollen.
Mer information om säkerhet på radnivå finns i Säkerhet på radnivå i Informationslager för infrastrukturresurser.
Säkerhet på kolumnnivå
Säkerhet på kolumnnivå är ett databassäkerhetsmått som begränsar åtkomsten till specifika kolumner eller fält i en databastabell, så att användarna bara kan se och interagera med de auktoriserade kolumnerna samtidigt som känslig eller begränsad information döljs. Det ger detaljerad kontroll över dataåtkomst och skyddar konfidentiella data i en databas.
Mer information om säkerhet på kolumnnivå finns i Säkerhet på kolumnnivå i informationslager för infrastrukturresurser.
Dynamisk datamaskning
Dynamisk datamaskning hjälper till att förhindra obehörig visning av känsliga data genom att göra det möjligt för administratörer att ange hur mycket känsliga data som ska avslöjas, med minimal effekt på programskiktet. Dynamisk datamaskning kan konfigureras för avsedda databasfält för att dölja känsliga data i resultatuppsättningarna med frågor. Med dynamisk datamaskering ändras inte data i databasen, så de kan användas med befintliga program eftersom maskeringsregler tillämpas på frågeresultat. Många program kan maskera känsliga data utan att ändra befintliga frågor.
Mer information om dynamisk datamaskning finns i Dynamisk datamaskning i Fabric-datalager.
Användargranskningsloggar
En uppsättning granskningsaktiviteter är tillgängliga via Microsoft Purview och PowerShell för att spåra användaraktiviteten i lager- och SQL-analysslutpunkten för att uppfylla kraven för regelefterlevnad och arkivhandlingar.
- Du kan använda användargranskningsloggar för att identifiera vem som vidtar vilken åtgärd som ska utföras på dina infrastrukturobjekt.
- Lär dig hur du konfigurerar SQL-granskningsloggar i Fabric Data Warehouse (förhandsversion) för att komma igång.
- Du kan spåra användaraktiviteter i Microsoft Fabric. Mer information finns i åtgärdslistan.
Sql Analytics-slutpunktssäkerhet
Mer information om säkerhet i SQL-analysslutpunkten finns i OneLake-säkerhet för SQL-analysslutpunkter.
Kundhanterad nyckelkryptering (CMK)
Du kan förbättra din säkerhetsstatus med hjälp av kundhanterade nycklar (CMK), vilket ger dig direkt kontroll över krypteringsnycklarna som skyddar dina data och metadata. När du aktiverar CMK för en arbetsyta som innehåller ett Fabric-datalager skyddas både OneLake-data och metadatalager med hjälp av krypteringsnycklar som finns i din Azure Key Vault. Mer information finns i Datakryptering i Fabric Data Warehouse.